Дополнительно было выявлено, что довольно частые проблемы с использованием boot-c на некоторых других системах коренным образом также проявляются по отсутствию сброса мышиного порта. Так как изменения затрагивают очень трогательную часть системы, необходимо тщательное тестирование данной небольшой заплатки по сбросу порта.
В предстоящем выпуске OpenSSH 6.8 станет доступной новая функция hostkeys@openssh.com, реализующая высылку, захват и обновление всех доступных ключей доверяемого узла в ~/.ssh/known_hosts.
Релизlibressl-2.0.0.tar.gz является предварительным, сборка и работоспособность была протестирована только на Linux, Solaris, Mac OS X и FreeBSD. Подразумевается, что библиотеку можно использовать вместо оригинальной OpenSSL в большинстве случаев («drop-in replacement of OpenSSL»). Совместимость с OpenSSL необходима для коллекции портов OpenBSD, где libressl обеспечивает полную поддержку требуемого функционала SSL для всех приложений рассчитанных на работу с обычной библиотекой OpenSSL.
В свете недавней очень серьёзной уязвимости Heartbleed протокола Heartbeat в сторонней библиотеке OpenSSL, разработчики OpenBSD решили окончательно и бесповоротно переписать всю библиотеку SSL, удалив груду разных кодов совместимости и поддержки несуществующих архитектур (например, big-endian i386/amd64), сохранив лишь API-совместимость с upstream OpenSSL.
Данное начинание некоторые временно называли OpenOpenSSL (т.к. оригинальный OpenSSL разрабатывается вне OpenBSD), но OpenBSD Foundation теперь объявило официальное название — «LibreSSL (the OpenBSD fork of OpenSSL)». Название также можно воспринимать как «lib-re-ssl» — переработка библиотеки ssl.
Протокол Heartbeat никто до сих пор не использует, однако он был всегда включён с момента поддержки в OpenSSL пару лет назад, и его нельзя было выключить без перекомпиляции с OPENSSL_NO_HEARTBEATS. (Поддержка теперь была полностью удалена из OpenBSD libressl.)
Предполагалось, что для избежания Heartbleed на OpenBSD достаточно будет установить опцию J в malloc.conf. Однако разработчики OpenSSL специально позаботились и сделали это невозможным, и поэтому даже на OpenBSD необходимо пересобирать всю библиотеку для устранения серьёзной уязвимости Heartbleed (в 5.3, 5.4 и 5.5, OpenSSL 1.0.0f в 5.2 и ранее не уязвим).
В процессе тестирования опции J с OpenSSL была обнаружена старинная ошибка в OpenSSL, о которой уже несколько лет было известно разработчикам OpenSSL, и даже имелось очень простое исправление. Однако разработчики OpenSSL до сих пор не приняли это к сведению. Командам OpenBSD, FreeBSD и Debian пришлось исправлять ошибку без какой-либо помощи от OpenSSL. Пару недель спустя, в upstream CVE-2010-5298до сих пор исправить не удосужились.
Так как сотрудничество с таким upstream нереально и в дальнейшем не предполагается, было принято решение улучшить читаемость всего кода в соответствии с style(9) — KNF, а также удалить весь неиспользуемый код для упрощения аудита. В будущем планируется выпуск портативной версии, после периода стабилизации.
Даже портированная версия не обошлась без добавочного кода Бернштейна — опять используется примитив ChaCha20, теперь для генератора псевдослучайных чисел правильной реализации arc4random() для всех поддерживаемых платформ.
Следует заметить, что новый метод обмена ключами теперь будет использоваться по умолчанию (опция KexAlgorithms в ssh_config(5) и sshd_config(5)). Использование нового поточного шифра — по выбору и необходимости (опция Ciphers).
В 2005'ом году ввиду повышенного спроса на инженеров Кремниевой долины, Стив Джобс — глава компании Apple — заключил секретный и незаконный договор с Эриком Шмидтом — главой компании Google — о несманивании сотрудников. В дальнейшем, к сговору подключились Intel, Adobe, Intuit, Lucasfilm, Pixar, а также в отдельном расследовании фигурирует сговор компаний eBay и HP (во главе с Мег Уитман) с остальными игроками.
Сговоры заключались в том, что агентам по найму кадров всех сговорившихся компаний было строго запрещено делать какие-либо контакты в дружеские компании к потенциальным сотрудникам, таким образом искусственно занижая спрос кадров и заработную плату трудящихся. В первую очередь, это касалось «холодных» контактов (когда рекрутеры контактировали возможных кандидатов при отсутствии заявки на работу со стороны кандидата), но соглашения затрагивали даже обычную процедуру подачи заявки на работу в соседней компании. Договор был очень серьёзный и строго выполнялся — Ерик Шмит мгновенно увольнял провинившихся рекрутеров по одному звонку Стива Джобса. Сговор был направлен именно на занижение зарплат, чему свидетельствуют заявления главных руководителей компаний.
Первый эшелон компаний уже заключил соглашения с министерством юстиции несколько лет назад (заплатив различные штрафы на благо государства), что и спровоцировало отдельный групповой иск со стороны самих сотрудников (60 тыс. тов.), а против второго эшелона расследуемых компаний (eBay, HP и др.) до сих пор рассматриваются иски штата Калифорния и минюста США. В январе 2014'го года иск сотрудников получил одобрение апелляционной инстанции на коллективное рассмотрение.
Следует заметить, что сам факт подобных сговоров был рассмотрен несколько в другом луче молодым Артемием Лебедевым в 1998ом году в момент образования дизайн-студии Артемия Лебедева — «Первое, что происходит в любой цивилизованной индустрии — основные игроки заключают такой договор „о несманивании“, который соблюдается. Это совершенно нормально и естественно.»
«Мы идём в сторону подписанных пакетов», — заявил Theo de Raadt в списке рассылок misc@openbsd. Чуть позже, в tech@ последовали инструкции о проверке подлинности релизов через signify(1), и призыв к тестированию нововведений.
Данные заявления следуют недавнему внедрению новой утилиты signify, которая была написана из-за слишком большого размера пакета gnupg, так как в OpenBSD до сих пор поддерживается установка системы с одной дискеты.
В качестве системы подписей используется криптосистема с открытым ключом Ed25519, разработанная небезызвестным тов. D. J. Bernstein, и его код был опять добавлен в OpenBSD, всего через пару недель после того, как некоторые другие из его изобретений были интегрированы в близлежащий OpenSSH.
Зачем нужен новый шифр и код аутентичности сообщений? Данные алгоритмы были разработаны специально для обеспечение наивысшей безопасности при наименьших вычислительных затратах и без необходимости специальной реализации в железе для работы в постоянное время, а вдохновение на их поддержку в ssh идёт из их недавнего внедрения в протокол TLS со стороны Google.
NDISulator, иначе известный как Project Evil («нечистый» проект, или Проект Зло), будет амортизирован в 11-CURRENT, и полностью удалён из FreeBSD в версии 11-RELEASE. Проект позволяет подключать драйверы беспроводных устройств Wi-Fi, предназначенные для Microsoft Windows, на FreeBSD с версии 5.3.
В основе проекта, десять лет тому назад, была поставлена задача поддержки большого количества беспроводных устройств с наименьшими затратами. Но с тех пор многое изменилось — на рынке WiFi появились чипсеты с доступной документацией, и многие производители чипсетов стали выкладывать исходный код своих драйверов. Поэтому в данный момент более продуктивно заниматься портированием WiFi драйверов из других систем BSD и написанием новых драйверов на основе обратной разработки драйверов для Linux, нежели подвергать значительному обновлению код совместимости с Windows (compat/ndis, if_ndis и ndiscvt) для поддержки новых 64-битных драйверов WiFi на основе последней версии NDIS.
Тихо и незаметно, в свет вышел сайт для быстрого запроса системных страниц помощи всех популярных BSD систем по короткому веб-адресу.
Например, для просмотра или ссылки на man(1) FreeBSD, теперь можно использовать адрес http://mdoc.su/f/man.1 (указание раздела — необязательно). Имеется поддержка версий ОС, например, /f91/ или /FreeBSD-9.1/. Сайт поддерживает man'ы FreeBSD, OpenBSD, NetBSD и DragonFly BSD; есть возможность ссылаться сразу на руководства нескольких систем одновременно (http://mdoc.su/f,d/ifnet.9) — в таком случае, будет выдана страница со статусом 300 Multiple Choices; и можно даже указывать необходимые версии систем (http://mdoc.su/f91,n60,o52,d/mdoc).
Весь сайт написан исключительно на языке nginx.conf стандартной конфигурации (без каких-либо внешних файлов), и исходники доступны по лицензии BSD на самом сайте и на ГитХабе.
Несколько лет назад появился первый сайт о пакетах OpenBSD — ports.openbsd.nu, ныне известный как OpenPorts.se. У OpenPorts.se есть одна проблема: поиск очень часто не выдаёт никаких результатов (т.к. по-умолчанию идёт исключительно по названию пакетов, не включая описания), а поиск через все поисковые системы заблокирован через robots.txt.
Представляем вашему вниманию ports.su. Проект является статическим сайтом на базе ports-readmes, и, в отличии от OpenPorts.se, обладает полнотекстовым поиском через Google (проиндексированы почти все 8 тыс страниц). Так как используются оригинальные интерпретаторы и официальная база данных OpenBSD ports тов. Marc Espie — sqlports — то у ports.su отсутствуют ошибки интерпретации, и каждый пакет может быть представлен сразу в нескольких категориях, и дополнительно имеет список всех зависимостей от других пакетов. Исходные скрипты сайта доступны на GitHub.